專利名稱:一種網(wǎng)絡(luò)流量聚類的方法及其設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)處理技術(shù),尤其涉及一種網(wǎng)絡(luò)流量的識別方法及其設(shè)備。
背景技術(shù):
所謂聚類�����,即將物理或抽象對象的集合分成由類似的對象組成的多個類的過程被稱為聚類�����。由聚類所生成的簇是一組數(shù)據(jù)對象的集合�,這些對象與同一個簇中的對象彼此相似�����,與其他簇中的對象相異����。網(wǎng)絡(luò)流控設(shè)備在對網(wǎng)絡(luò)流量進行監(jiān)控時,往往通過對整個局域網(wǎng)的網(wǎng)絡(luò)流量進行聚類來挖掘出流量中的應(yīng)用數(shù)量?,F(xiàn)有技術(shù)中的聚類方法是基于整個局域網(wǎng)網(wǎng)絡(luò)流量進行聚類,由于整個局域網(wǎng)內(nèi)的用戶���、應(yīng)用數(shù)量繁多�,網(wǎng)絡(luò)流量復雜�����,聚類準確度難以得到保證,且基于整個內(nèi)網(wǎng)的網(wǎng)絡(luò)流量聚類���,樣本空間大�����,效率低����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是網(wǎng)絡(luò)流量聚類效率準確度低����,且聚類效率慢的問題。解決上述技術(shù)問題�,本發(fā)明一方面提供了一種網(wǎng)絡(luò)流量聚類的方法,該方法包括以下步驟采集全局網(wǎng)絡(luò)流量�;將全局網(wǎng)絡(luò)流量按照單用戶進行流量切割,生成樣本數(shù)據(jù)���; 根據(jù)樣本數(shù)據(jù)對流量進行流量類型分類�;根據(jù)流量類型選擇不同的特征組合進行聚類���。本發(fā)明第二方面提供了一種網(wǎng)絡(luò)流量聚類的設(shè)備�����。該設(shè)備包括采集單元�,用于采集全局網(wǎng)絡(luò)流量;樣本數(shù)據(jù)生成單元���,用于根據(jù)全局網(wǎng)絡(luò)流量按照單用戶進行流量切割,生成樣本數(shù)據(jù)����;一級聚類單元,根據(jù)樣本數(shù)據(jù)進行流量類型分類��;二級聚類單元���,根據(jù)流量類型選擇不同的特征組合進行聚類��。根據(jù)本發(fā)明的方法及其設(shè)備�����,網(wǎng)絡(luò)流量聚類準確度高�、效率快、流量識別范圍廣��, 能夠準確挖掘出網(wǎng)絡(luò)流量中的應(yīng)用數(shù)量�����,可作為網(wǎng)絡(luò)流控設(shè)備功能實現(xiàn)����。
圖1為本發(fā)明網(wǎng)絡(luò)流量聚類的方法及其設(shè)備的應(yīng)用場景;圖2為本發(fā)明實施例網(wǎng)絡(luò)流量聚類的方法流程圖�����;圖3為本發(fā)明實施例網(wǎng)絡(luò)流量聚類的設(shè)備結(jié)構(gòu)圖��;圖4為一個負載特征組合中頻繁項集產(chǎn)生過程示意圖����;圖5為另一個負載特征組合中頻繁項集產(chǎn)生過程示意圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完整地描述,顯然��,所描述的實施例是本發(fā)明的一部分實施例�。基于本發(fā)明中的實施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍���。
圖1為網(wǎng)絡(luò)流量聚類的方法及其設(shè)備的應(yīng)用場景�。如圖1所示���,局域網(wǎng)用戶11、用戶12和用戶13通過網(wǎng)絡(luò)流控設(shè)備22訪問網(wǎng)絡(luò)����。網(wǎng)絡(luò)流控設(shè)備22可以獲取整個局域網(wǎng)里的所有用戶(用戶11、用戶12和用戶13)的網(wǎng)絡(luò)流量���。圖2為本發(fā)明實施例網(wǎng)絡(luò)流量聚類的方法流程圖���。該方法包括步驟201-204。在步驟201��,采集全局網(wǎng)絡(luò)流量,即采集整個內(nèi)網(wǎng)所有用戶的網(wǎng)絡(luò)流量�����。在步驟202�����,全局網(wǎng)絡(luò)流量按照單用戶進行流量切割����,生成樣本數(shù)據(jù)。具體地����,將在步驟201中采集的全局網(wǎng)絡(luò)流量按照內(nèi)網(wǎng)單用戶進行流量切割,分成多個單用戶的模型流量�,生成樣本數(shù)據(jù)。樣本數(shù)據(jù)可以是一個連接的相關(guān)信息輸出���,例如����,連接的元組信息���、包長序列信息��、上下行流量計數(shù)信息����、時間戳信息以及DPI分類標簽信息等。在步驟203����,根據(jù)樣本數(shù)據(jù)對流量進行流量類型分類。該步驟可以理解為針對網(wǎng)絡(luò)流量的第一級聚類�。具體地,網(wǎng)絡(luò)流控設(shè)備根據(jù)在步驟202中生成的樣本數(shù)據(jù)對流量類型進行分類���, 即根據(jù)一個連接的相關(guān)信息輸出將網(wǎng)絡(luò)流量分為加密模型流量、非加密模型流量���、P2P模型流量和CS模型流量等�����。在一個例子中���,通過統(tǒng)計一個連接中字節(jié)信息輸出來判斷網(wǎng)絡(luò)流量類型��,例如����,連接中每個字節(jié)的出現(xiàn)概率基于均等��,則判斷該連接是加密模型流量��。在步驟204�����,根據(jù)流量類型選擇不同的特征組合進行流量聚類���。該步驟可以理解為
二級聚類�����。具體地�����,根據(jù)在步驟203輸出的不同流量類型��,采用不同的特征組合進行流量聚類���。例如�����,針對加密的模型流量類型���,可以選擇元組(tuple)特征組合、樣本(pattern)特征組合或時間戳(timestamp)特征組合對加密的模型流量進行聚類����。針對非加密的模型流量類型,可以選擇元組(tuple)特征組合��、負載(payload)特征組合和時間戳(timestamp) 特征組合對非加密的模型流量進行聚類�����。在一個例子中�����,以元組(tuple)特征組合對加密的模型流量或非加密的模型流量進行聚類為例進行闡述���。元組(tuple)特征組合對流量進行聚類是將流量中的元組信息進行拆分組合�,如元組信息中的傳輸層協(xié)議/源IP/源端口��、傳輸層協(xié)議/目標IP/目標端口��、 傳輸層協(xié)議/源IP/目標IP���,分別以元組信息的各種組合統(tǒng)計連接�,如傳輸層協(xié)議/源IP/ 源端口,傳輸層協(xié)議/目標IP/目標端口統(tǒng)計所有連接出現(xiàn)的次數(shù)�����,考慮連接的時間差�,取出頻繁項集(出現(xiàn)次數(shù)大于2)����。通過迭代的方式合并各個頻繁項集��。合并規(guī)則是兩個基于不同元組組合到的兩個分類里面�,如果他們包含有相同的連接�,那這兩個類里面的所有連接屬于同一個類��。當經(jīng)過迭代時���,無法再將集合合并,則迭代結(jié)束�����。例如,加密或非加密模型流量中的元組信息如表1所示表權(quán)利要求
1.一種網(wǎng)絡(luò)流量聚類的方法,其特征在于包括以下步驟采集全局網(wǎng)絡(luò)流量�;將所述全局網(wǎng)絡(luò)流量按照單用戶進行流量切割,生成樣本數(shù)據(jù)�;根據(jù)所述樣本數(shù)據(jù)對流量進行流量類型分類�����;根據(jù)所述流量類型選擇不同的特征組合進行聚類。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于所述將所述全局網(wǎng)絡(luò)流量按照單用戶進行流量切割����,生成樣本數(shù)據(jù)的步驟包括對所述全局網(wǎng)絡(luò)流量進行切割�����,分成多個單用戶的模型流量���。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于所述根據(jù)所述樣本數(shù)據(jù)對流量進行流量類型分類包括根據(jù)所述樣本數(shù)據(jù)將流量類型分成加密模型流量或非加密模型流量����。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于所述根據(jù)所述流量類型選擇不同的特征組合進行聚類包括當流量類型為加密模型流量時��,選擇元組特征組合�����、樣本特征組合或時間戳特征組合進行聚類���。
5.根據(jù)權(quán)利要求3所述的方法���,其特征在于所述根據(jù)所述流量類型選擇不同的特征組合進行聚類包括當流量類型為非加密模型流量時���,選擇元組特征組合���、負載特征組合或時間戳特征組合進行聚類。
6.一種網(wǎng)絡(luò)流量聚類的設(shè)備��,其特征在于包括采集單元�����,用于采集全局網(wǎng)絡(luò)流量�����;樣本數(shù)據(jù)生成單元��,用于根據(jù)所述全局網(wǎng)絡(luò)流量按照單用戶進行流量切割,生成樣本數(shù)據(jù)�;一級聚類單元�,根據(jù)所述樣本數(shù)據(jù)對流量進行流量類型分類���;二級聚類單元�,根據(jù)所述流量類型選擇不同的特征組合進行聚類���。
7.根據(jù)權(quán)利要求6所述的設(shè)備���,其特征在于所述樣本數(shù)據(jù)生成單元對所述全局網(wǎng)絡(luò)流量進行切割�,分成多個單用戶的模型流量�����。
8.根據(jù)權(quán)利要求6所述的設(shè)備,其特征在于所述一級聚類單元根據(jù)所述樣本數(shù)據(jù)將流量類型分成加密模型流量或非加密模型流量�。
9.根據(jù)權(quán)利要求8所述的設(shè)備����,其特征在于所述二級聚類單元選擇元組特征組合�����、樣本特征組合或時間戳特征組合對加密模型流量進行聚類��。
10.根據(jù)權(quán)利要求8所述的設(shè)備����,其特征在于所述聚類單元選擇元組特征組合、負載特征組合或時間戳特征組合對非加密模型流量進行聚類��。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)流量聚類的方法及其設(shè)備��。所述方法包括以下步驟采集全局網(wǎng)絡(luò)流量���;將所述全局網(wǎng)絡(luò)流量按照單用戶進行流量切割�����,生成樣本數(shù)據(jù)�����;根據(jù)樣本數(shù)據(jù)對流量進行流量類型分類�;根據(jù)流量類型選擇不同的特征組合進行聚類�����。所述設(shè)備包括采集單元��、樣本數(shù)據(jù)生成單元、一級聚類單元和二級聚類單元��。本發(fā)明網(wǎng)絡(luò)流量聚類方法準確度高、效率快�、流量識別范圍廣��,能準確挖掘出網(wǎng)絡(luò)流量中的應(yīng)用數(shù)量�,可作為網(wǎng)絡(luò)流控設(shè)備功能實現(xiàn)�����。
文檔編號H04L12/56GK102299863SQ20111029543
公開日2011年12月28日 申請日期2011年9月27日 優(yōu)先權(quán)日2011年9月27日
發(fā)明者崔淵博, 梁志勇, 洪婷婷, 陳振昌, 齊曉璐 申請人:北京網(wǎng)康科技有限公司